Внедрение КСЗИ

Комплексная система защиты информации

Законы и нормы Украины требуют защиту информации, принадлежащей государству, а также информации с ограниченным доступом, требования по защите которой установлены законом, в том числе, персональные данные.

Комплексная система защиты информации (КСЗИ) – это организационные (обязательные) и технические (при необходимости) мероприятий для защиты информации от разглашения, утечки и несанкционированного доступа.

Инфографика - КСЗИ

Регулирование создания, внедрения и использования КСЗИ в Украине выполняется в соответствии с нормативными документами по технической защите информации (далее – НД ТЗИ).

Создание КСЗИ в Автоматизированной Системе или Информационно-Телекоммуникационной Системе (далее — АС, ИТС, «целевой объект») осуществляется согласно НД ТЗИ 3.7-003-05 “Порядок проведения работ по созданию комплексной системы защиты информации в информационно-телекоммуникационной системе” на основании технического задания, разработанного в соответствии с требованиями НД ТЗИ 3.7-001-99 “Методические указания по разработке технического задания на создание комплексной системы защиты информации в автоматизированной системе”.

Н-Х предлагает профессиональные услуги по созданию КСЗИ для АС или ИТС, а также соответствующие консультации по информационной безопасности.

Цель

Целью проекта является создание и внедрение КСЗИ, а также предоставление консультаций Заказчику в согласованной области охвата. Для выполнения проекта необходимо выполнить следующие разовые задачи:

  • Сформировать общие требования к КСЗИ в ИТС.
  • Разработать политики безопасности информации в ИТС.
  • Разработать техническое задание (далее – ТЗ) на создание КСЗИ.
  • Разработать проект КСЗИ.
  • Ввести КСЗИ в действие и оценить защищённость информации в ИТС.

Также, по желанию Заказчика, Исполнитель предлагает постоянные услуги по сопровождению КСЗИ.

Этапы внедрения КСЗИ

1
Формирование общих требований к КСЗИ в ИТС
  • Формирование общих требований к КСЗИ в ИТС.
  • Обоснование необходимости создания КСЗИ
  • Обследование сред функционирования ИТС
  • Формирования задания на создание КСЗИ
2
Разработка политики безопасности информации в ИТС
  • Изучение объекта, на котором создаётся КСЗИ, проведения научно-исследовательских работ
  • Выбор варианта КСЗИ
  • Оформление политики безопасности
3
Разработка технического задания (далее – ТЗ) на создание КСЗИ
  • ТЗ на создание КСЗИ в ИТС является основополагающим организационно-техническим документом, который определяет требования по защите обрабатываемой в ИТС информации, порядок создания КСЗИ, порядок проведения всех видов испытаний КСЗИ и ввода её в эксплуатацию в составе ИТС.
  • ТЗ на создание КСЗИ разрабатывается на соответствующей стадии работ по созданию ИТС на основе комплексного подхода к построению КСЗИ, который предусматривает объединение в единую систему всех необходимых мер и средств защиты от разнообразных угроз безопасности информации на всех этапах жизненного цикла ИТС.
  • ТЗ на создание КСЗИ может разрабатываться для вновь создаваемых ИТС, а также при модернизации уже существующих ИТС. Для оформления ТЗ на КСЗИ могут быть использованы следующие варианты: в виде отдельного раздела ТЗ на создание ИТС; в виде отдельного (частичного) ТЗ; в виде дополнения к ТЗ на создание ИТС.
  • Первый вариант рекомендуется применять для вновь создаваемых ИТС. Второй или третий варианты рекомендуется применять в случае модернизации КСЗИ, модернизации действующих ИТС, а также для ИТС, которые уже имеют утверждённое ТЗ на создание, в котором не содержится отдельного раздела по защите информации.
  • Для любого из вариантов разработки и оформления ТС на КСЗИ, его содержание, порядок согласования и утверждения должен соответствовать НД ТЗИ 3.7-001 и ГОСТ 34.602.
4
Разработка проекта КСЗИ
  • Проект КСЗИ разрабатывается на основании и в соответствии с ТЗ на создание ИТС (дополнение к нему, отдельного ТЗ на создание КСЗИ).
  • Эскизный проект КСЗИ. На этом этапе осуществляется разработка предварительных проектных решений КСЗИ и, в случае необходимости, ее отдельных составных частей, а также разработка, оформление, согласование и утверждение документации на КСЗИ.
  • Технический проект КСЗИ.
  • Рабочий проект КСЗИ.
5
Введение КСЗИ в действие и оценка защищённости информации в ИТС
  • Подготовка КСЗИ до введения в действие.
  • Обучение пользователей.
  • Комплектование КСЗИ.
  • Предварительные испытания.
  • Опытная эксплуатация.
  • Государственная экспертиза КСЗИ.

Ознакомьтесь с дополнительными сервисами и бизнес-кейсами. Отправьте форму для заказа внедрения КСЗИ или для получения бесплатной консультации.

Бизнес-кейсы проектов, выполненых нами

Анализ безопасности исходных кодов программного обеспечения
Аудиты безопасности и тесты на проникновение
Кейсы по внедрению центра безопасности (Security Operations Center)
Реагирование на инциденты и их расследование
Управляемая безопасность и комплаенс (ISO 27001 и т. д.)